摘要:Ostium协议在Arbitrum上遭遇2400万美元级资金池被盗,攻击者利用伪造的未来价格报告与已注册转发器完成时间操纵。事件揭示预言机信任链的致命弱点,引发对RWA协议安全架构的深度反思。

币圈界报道:
Ostium协议遭恶意操控:2400万美金资金池在五分钟内被清空
2026年7月15日UTC时间14:18至14:23,短短五分钟内,一个活跃的RWA永续合约资金池被迅速掏空。此次事件并非普通漏洞爆发,而是一场精心策划的时间窗口攻击,涉及对未来价格数据的伪造与链上执行的精准调度,对依赖收益型流动性的投资者构成重大警示。
攻击路径解析:从虚假利润到资金抽离
攻击者通过获取一个被攻破的预言机签名者密钥,构造了一份针对未来时间点的价格授权报告。借助已注册的合法PriceUpKeep转发器,该伪造数据被成功推送到链上,触发了资金池对‘盈利交易’的自动结算机制。系统在无异常提示的情况下,向攻击者支付了约1800万美元的USDC,后续追踪确认总损失接近2400万美元。
根本原因:预言机信任链的断裂而非代码缺陷
尽管智能合约逻辑本身未被破坏,但核心问题在于对单一签名者权限的过度依赖。一旦该密钥失守,攻击者即可生成看似合规的未来价格输入,绕过所有常规验证流程。这一漏洞凸显了依赖中心化或单点可信源的协议在安全性上的结构性脆弱。
攻击者行为轨迹:种子资金与混币路径分析
攻击地址在行动前分别从ChangeNOW和Bybit交易所接收1 ETH作为初始资金,符合典型“干净钱包”部署模式。通过创建纸面盈利头寸,攻击者实现对OLP资金池的逐步耗尽,随后将所得USDC兑换为约12,080 ETH,并将其中约10,540 ETH转入Tornado Cash以掩盖行踪。
对投资者的深层警示:安全收益的再定义
Ostium作为融资超2780万美元、支持200倍杠杆的高阶RWA协议,其用户群体涵盖机构与高净值个体。此次事件表明,即使合约代码经过审计,若底层预言机基础设施存在可被操控的入口,整个协议仍可能面临系统性风险。收益背后的“安全”假设,必须重新评估。
关键信息摘要:时间、金额与操作细节
漏洞发生时间:2026年7月15日 UTC 14:18–14:23;被盗金额:约1800万至2400万美元USDC;攻击方式:伪造未来价格报告 + 已注册转发器;资金流向:转换为约12,080 ETH,其中约10,540 ETH进入Tornado Cash;初始资金来源:攻击者地址在攻击前分别从ChangeNOW与Bybit各获1 ETH。
历史先例:预言机操纵并非孤例
此类攻击在DeFi领域已有先例。当协议高度依赖单一可信价格源时,哪怕代码运行正常,只要签名者密钥被窃取,便足以伪造完整交易链条。这使得预言机设计成为当前审计重点中的最高风险项,也推动行业向多源验证与去中心化预言机架构演进。
后续关注焦点:调查进展与恢复路径
团队正联合执法机构及SEAL 911等多方展开深入调查。公众需重点关注:是否发布关于签名者泄露的完整技术复盘;是否有针对受损存款人的赔偿方案;新预言机机制上线后交易能否恢复及其具体时间表;以及链上追踪团队对转入Tornado Cash资金的进一步动向。
事件定性:一次对信任模型的深刻拷问
Ostium事件标志着今年最典型的非合约类攻击之一,其本质是时间维度上的信任操纵。随着交易暂停与调查推进,下一次官方公告将决定资金池外用户的资产命运——是成为一则被铭记的警示案例,还是快速修复并重建信心的转折点。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。
